bug bounty · gratuito da aderire · triage interno

Coglici in fallo — ottieni una ricompensa.

Il nostro programma. Accettiamo due tipi di scoperte: vulnerabilità classiche (track A) e confutazioni del nostro report di sicurezza (track B). I livelli di pagamento sono condivisi per entrambi; la ricompensa è accreditata sul tuo saldo della piattaforma.

ambito

Dove puoi cacciare.

Nell'ambito

  • createyourvpn.com e api.createyourvpn.com
  • i tuoi domini della vetrina
  • un server di test esplicitamente designato

Fuori ambito

  • server e dati dei partner e degli utenti finali
  • denial-of-service / stress test
  • social engineering, spam, phishing
  • accesso fisico

I test attivi sono consentiti solo sull'ambiente di preprod (pp.*), così la caccia non tocca mai i partner attivi né i loro utenti. I problemi che riguardano anche la produzione contano comunque — basta riprodurli sull'ambiente.

ricompense

Livelli di pagamento.

grave€100

RCE; accesso ad altri server o a chiavi SSH; bypass dell'autorizzazione; confutazione di un'affermazione SR sulla conservazione delle chiavi

medio€50

IDOR verso i dati altrui; XSS con hijacking della sessione; confutazione di altre affermazioni SR

minore€25

XSS con impatto limitato; divulgazione di informazioni interne

informativoHall of fame

note sulle best practice; un header mancante senza exploit

regole

Brevi e oneste.

  • Esegui i test attivi solo sull'ambiente di preprod designato (pp.*) — mai contro la produzione né contro i server di partner o utenti.
  • La ricompensa va solo al primo segnalatore; i duplicati ricevono un riconoscimento nella hall of fame.
  • È richiesto un proof of concept riproducibile; «ti manca l'header X» senza un exploit è hall of fame, non una ricompensa.
  • Divulgazione responsabile: 90 giorni di silenzio; rispondiamo entro 72 ore.
  • Safe harbor: non perseguiremo la ricerca in buona fede all'interno dell'ambito.
  • Testa solo sui tuoi account.
  • Fuori ambito: server e dati dei partner e degli utenti, denial of service, social engineering, spam, accesso fisico.

Hai trovato qualcosa?

Invia una segnalazione con un proof of concept riproducibile via email. Puoi trovarci anche tramite il file security.txt sui nostri domini.

security@createyourvpn.com/.well-known/security.txt · 90 giorni di silenzio · safe harbor